O port-security tem muitos parâmetros pouco explorados pela maioria dos candidatos a CCNA...
Em termos gerais, quem aprende port-security no CCNA utiliza uma sequência de comandos similar a esta:
SW01#conf t
SW01(config)#interface fastethernet 0/7
SW01(config-if)#switchport mode access
SW01(config-if)#switchport port-security
SW01(config-if)#switchport port-security maximum
SW01(config-if)#switchport port-security mac-address
SW01(config-if)#switchport port-security violation shutdown
Onde pode-se definir o número máximo de endereços MAC a serem aprendidos numa interface e, eventualmente, pode-se definir estaticamente quais os MACs que poderão ser aceitos. Caso o limite seja ultrapassado, a porta será desabilitada (comportamento padrão).
Pode-se também armazenar as entradas dinâmicas aprendidas via CAM Table na running-config usando o comando abaixo. (Assim, não é preciso cadastrar cada MAC manualmente):
SW01(config)#switchport port-security mac-address sticky
Pois bem, vamos falar agora das opções que são pouco exploradas no comando, começando pelo tratamento da violação quando esta ocorre:
SW01(config-if)# switchport port-security violation {shutdown | restrict | protect}
Além de desativar a interface com o parâmetro shutdown, podemos apenas impedir que o novo MAC-Address seja aprendido com os parâmetros restrict ou protect. Assim, não haverá interrupção no funcionamento da interface e não teremos que reativa-la manualmente. A diferença entre eles é que o restrict gera uma trap SNMP avisando a ocorrência da tentativa de violação e o protect não.
PS: É claro que o SNMP deve estar configurado no Switch para que isto ocorra !
Outro parâmetro pouco explorado é o aging time. Após ocorrer uma violação, esta fica registrada na interface enquanto o switch estiver ativo ou até que esta entrada seja removida manualmente. É possível definir uma validade para a violação no cache do port-security com o comando abaixo:
SW01(config-if)# switchport port-security [ aging {static | time aging_time | type
{absolute | inactivity} ]
Confuso ? Vamos lá: o paraâmetro aging static define que haverá um tempo de vida para as entradas configuradas estaticamente e não só para aquelas aprendidas de forma dinâmica, o time do cache de violações é definido em segundos. Podemos também definir este time com o atributo absolute (quando se passar exatamente o time determinado a partir do momento da violação) ou o atributo inactivity (quando o tempo começa a contar quando o MAC address causador da violação não está mais tentando se associar a CAM Table).
No exemplo abaixo, as entradas estáticas serão removidas do cache após 30 minutos (1800 segundos) de inatividade:
SW01(config)# interface fastethernet0/7
SW01(config-if)# switchport port-security aging time 1800
SW01(config-if)# switchport port-security aging type inactivity
SW01(config-if)# switchport port-security aging static
Para eliminar as entradas dinâmicas, pode se usar o comando abaixo:
SW01# clear port-security dynamic interface fastethernet0/7
Caso vc queira desabilitar o port-security de uma interface (e remover todos os comando relacionados a ele) basta digitar:
SW01(config)#interface fastethernet 0/7
SW01(config)#no switchport port-security
Por último, uma dica que eu achei muito interessante, ao invés de se reabilitar manualmente uma interface desabilitada pelo violation shutdown (entrando nesta interface e usando os comandos shut e no shut). Podemos programar um time para que as interfaces desativadas sejam reabilitadas automaticamente. Veja os comandos abaixo:
SW01(config)# errdisable recovery cause psecure-violation
SW01(config)# errdisable recovery interval 1800
Neste exemplo, todas as interfaces que entrarem no estado de error-disable devido a uma violação de segurança serão automaticamente reabilitadas em 30 minutos (1800 segundos).
Gostou ? Agora, aproveite as férias para testar estas features do port-security.
Have Fun !
Fonte:
http://www.cioby.ro/cisco/how-to-configure-port-security-on-cisco-catalyst-switches.php
Valeu mesmo Adilson, com certeza é uma matéria muito importante ja que é cobrado no CCNA e CCNP abs!!
ResponderExcluirÓtimo post Adilson!
ResponderExcluirMuito bom, acredito que o funcionamento do restricted e do protected sempre são pouco explorados.
ResponderExcluirA dica do recovery eh mto boa.
Obrigado